7.1 Một số khái niệm cơ bản về VPN.
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (th- ờng là Internet) để kết nối với các site (các mạng riêng lẻ) hay nhiều ngời sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng nh đờng truyền riêng (lease line), mỗi VPN sử dụng các kết nối ảo đợc dẫn đờng qua Internet từ mạng riêng các công ty với các site hay các nhân viên từ xa.
VPN_Virtual Private Network, có thể đợc dịch là mạng ảo nội bộ. Bạn có thể tự hỏi, đã trong mạng nội bộ rồi thì còn dùng ảo làm gi? Ngời dùng khi đi
công tác xa sử dụng VPN để nối tới các dịch vụ đang chạy hoặc những chơng trình có thể dùng nh họ đang ngồi văn phòng. Đó là lí do cho cái tên ảo (Virtual).
7.2 Các bớc triển khai VPN.
- Config Routing and Remote Access console
- Tạo tài khoản ngời dùng (User) và cấp quyền truy nhập VPN - Thiết lập VPN client
B2. Enable and Routing
IIX. Xây dựng hệ thống Firewall tờng lửa ISA Server 2004.
ISA Server 2004 Firewall đợc thiết kế để bảo vệ Network, chống các
xâm nhập từ bên ngoài lẩn kiểm soát các truy cập từ bên trong nội bộ Network của một tổ chức. ISA Server 2004 Firewall làm điều này thông qua cơ chế điều khiển những gì có thể đợc phép qua Firewall và những gì sẻ bị ngăn chặn. Chúng ta có thể hình dung một cách đơn giản nh sau: Có một quy tắc đợc áp đặt trên Firewall cho phép thông tin đợc truyền qua Firewall sau đó những thông tin này sẻ đợc pass qua và ngợc lại nếu không có bất cứ quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẻ bị chặn lại.
ISA Server 2004 Firewall chứa nhiều tính năng mà các Security Admin có thể dùng để đảm bảo an toàn cho việc truy cập Internet, và cũng đảm bảo an ninh cho các tài nguyên trong nội bộ Network.
8.1 Cài đặt ISA Server 2004
- Join vào Domain “vienthonght.com.vn” - Logon bằng Domain Admin
-Chạy Auto Run của bộ phần mềm ISA\ Install ISA Server 2004. -Khởi động lại máy.
Theo mặc định ISA Server 2004 không cho phép các truy cập ra ngoài Internet (Outbound access) từ bất cứ máy nào nằm trong phạm vi kiểm soát của bất cứ Network đợc bảo vệ (Protected Network) và cũng không cho phép các Computers trên Internet truy cập đến Firewall hoặc bất kỳ network đã đợc bảo vệ bởi Firewall. Nh vậy sau khi ISA Server 2004 đợc cài đặt theo mặc định thì “nội bất xuất, ngoại bất nhập”. Tuy nhiên một System Policy trên Firewall đã đ- ợc cài đặt, cho phép thực hiện các tác vụ quản trị Network cần thiết.
Lu ý: khái niệm Network đợc bảo vệ (Protected Network) là bất cứ
Network nào đợc định nghĩa bởi ISA 2004 không thuộc phạm vi của các Network bên ngoài (External Network) nh Internet.
Đặc điểm Multi-Networking đợc cung cấp trong ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network), chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ.
Tiến hành các bớc để duyệt qua chính sách mặc định của Firewall:
Click Start\ Programs\ Microsoft ISA Server\ ISA Server Managent.
Ta mở rộng Server node và right Click vào Firewall policy\ View\ Show
System Policy Rules.
Khi đó ta sẻ thấy một danh sách các Policy đợc sắp xếp theo trình tự. Các policy sẻ đợc xử lý theo trình tự từ trên xuống, có nghĩa là nhữ policy đứng trên sẻ đợc xử lý trớc. Kéo xuống danh sách của System policy Rules ta thấy rằng, các nguyên tắc đợc xác định rỏ bởi:
Số thứ tự (Order number) Tên (Name Rules)
Hành động đa ra đối với nguyên tắc đó (Allow or Deny) Dùng giao thức nào (Protocols)
Từ Network hay Computer nguồn From (Source Network or host) Từ Network hay Computer đích To (Destination Network or host)
Chúng ta nhận thấy rằng, không phải tất cả các Rules đều đợc bật
Enable. Chính sách Disabled mặc định của System policy Rules đợc thể hiện
bằng những biểu tợng mủi tên xuống màu đỏ góc bên phải. Khi cần thiết admin có thể Enable nó lên, hoặc là chúng ta có thể làm một số thay đổi trên thuộc tính đó bằng cách double Click trên Rule.
8.3. Tiến hành Backup và Restore.8.3.1. Backup: 8.3.1. Backup:
Bớc 1: Mở Microsoft Internet Security and acceleration server 2004 Managent console, right Click trên server name, Click Backup.
Bớc 2: Điền tên file backup và chọn vị trí lu trử file backup trong save list. Click backup. Sau đó ta điền password và xác định lại password. Thông tin trong file backup đợc mã hoá vì nó chứa password phục hồi và những thông tin quan trọng đã lu trử, Click Ok.
8.3.2. Cách phục hồi Restore. 8.4. ISA Client.
Web proxy client: Có trình duyệt internet (IE) đợc cấu hình dùng ISA
nh một Web proxy server của nó.
Bỏ trắng địa chỉ default gateway trên card mạng của máy client
Sau đó ta chọn vào Internet Explorer\ Tool\ Internet Option\
Connection\ Lansetting.
Điền địa chỉ Ip của card mạng trên máy ISA gắn với mạng đó vào ô address.
8.5. Thiết lập Access Rules.8.5.1 Giới thiệu. 8.5.1 Giới thiệu.
Sau khi định nghĩa mối quan hệ giữa các mạng, chúng ta sẽ thiết lập các Access Rules: để cho phép hoặc từ chối truy cập bất cứ một dịch vụ hay giao thức nào đối với bất cứ một user nào khi đi qua ISA firewall.
Mặc định ISA cấm tất cả mọi traffic ra/ vào hệ thống (Default Rule). Muốn hệ thống hoạt động ta phải tạo các rules tơng ứng.
Sau đây ta sẽ khảo sát một số cách thiết lập các rules thông dụng trên ISA thờng dùng trong mạng các công ty.
8.5.2. Tạo rule cho phép traffic DNS Query để phân giải tên miền
Bớc 1: ISA Management\ Firewall Policy\ New\ Access Rule Bớc 2: Gõ “DNS” vào ô Access Rule Name\ Next.
Bớc 3: Action chọn “Allow”\ Next.
Bớc 4: Trong “This Rule Apply to” chọn Selected Protocols\ Add\
Common Protocol\ DNS\ Ok\ Next.
Bớc 5: Trong “Access Rule Source”\ Add\ Networks\ Internal\ Add\ Close\ Next
Bớc 6: Trong “Access Rule Destination”\ add\ Networks\ External\
Close\ Next.
Bớc 7: Trong “User Sets” chọn giá trị mặc định “All Users”\ Next\
Finish
Chọn nút “Apply”.
8.5.3. Tạo rule cho phép các User thuộc nhóm “ketoan” xem trang ngoisao.net trong giờ làm việc.
• Định nghĩa nhóm “ketoan”.
Bớc 1: ISA Server Management\ Firewall Policy\ Toolbox\ Users\
New.
Bớc 2: Nhập chuỗi “ketoan” vào ô User set name\ Next. Bớc 3: Add\ Windows User and Group.
Bớc 4: Chọn Group “ketoan”. Next\ Finish.
• Định nghĩa URL Set chứa trang –ngoisao.net–.
ISA Server Management\ Firewall Policy\ Toolbox\ Network Objects\ New\ URL Set.
Mở ISA Server Management\ Firewall Policy\ Toolbox\ Schedule\
New.
Name: Gio Lam Viec từ 7- 11 am, 1- 6 pm Chọn Active. Ok. • Tạo rule.
Bớc 1: Tạo Access rule theo các thông số sau: Rule Name: Ke Toan - Trong Gio Lam Viec Action: Allow
Protocols: HTTP+ HTTPS Source: Internal
Destination: URL Set\ ngoisao.net User: Ketoan
Bớc 2: Click nút phải chuột trên rule vừa tạo Properties Bớc 3: Chọn Schedule\ Gio Lam Viec\ Ok. Apply Rule.
8.6 Server Publishing.
Sau khi cài đặt và cấu hình thành công các Server: Mail, Web, FTP trong Local, để ngời dùng có thể giao tiếp đợc với các Server từ Internet, chúng ta cần Publish các Server này ra Internet. Sau khi Publish, ngời dùng có thể truy cập vào Website của công ty, gửi e-mail vào mailbox của các User trong công ty, truyền files với FTP từ mạng Internet.
Nếu không có địa chỉ IP tĩnh do ISP cung cấp thì phải sử dụng phần mềm cập nhật địa chỉ IP động, và phải có một tên miền trên Internet đã cài đặt MX Record dùng cho Mail Server
8.6.1. Publish Mail Server SMTP, POP3.
SMTP và POP3 là hai giao thức dùng để truyền và nhận email, chúng ta cần publish hai giao thức này.
- Tạo Rule cho phép các user nhận và gửi mail(POP3/SMTP) từ Internal- > External với All user
- Tạo Access rule theo các thông số sau: - Rule Name: Allow Mail (SMTP+ POP3)
- Action: Allow
- Protocols: POP3+ SMTP - Source: Internal
- Destination: External - User: All User
Bớc 1: Tạo rule Publish Mail Server:
Firewall Policy\ New\ Mail Server Publishing Rule…
Hộp thoại Welcome\ đặt tên là “Publish Mail”\ Next.
Bớc 2: Hộp thoại Select Access Type\ chọn Clients access: RPC, IMAP, POP3, SMTP\ Next.
Bớc 3: Hộp thoại Select Services\ đánh dấu chọn ô\ Next.
Bớc 4: Hộp thoại Select Server\ gõ vào Server IP address là địa chỉ IP của Mail Server (192.168.1.2)\ Next
Bớc 5: Hộp thoại IP Address\ đánh dấu chọn External network\ Next Hộp thoại Completing…\ Finish.
Cửa sổ ISA Managerment\ Apply\ Ok.
8.6.2. Publish FTP Server.
Bớc 1: Tạo rule Publish FTP:
Firewall Policy\ New\ Server Publishing Rule…
Bớc 2: Hộp thoại Select Servers gõ vào địa chỉ IP của FTP Server, ở đây là 10.0.0.1\ Next.
Bớc 3: Hộp thoại Select Protocol\ chọn FTP Server\ Next.
Bớc 4: Hộp thoại IP Address\ đánh dấu chọn External network\ Next. Hộp thoại Completing…\ Finish.
Cửa sổ ISA Managerment\ Apply\ Ok.
8.6.3. Publish Web Server.
Trên máy ISA, tạo một Web Listener cho phép các đối tợng ngoài Internet có thể truy cập vào mạng nội bộ thông qua Web.
Bớc 1: Vào ISA managerment\ Firewall Policy, trong cửa sổ thứ 3 chọn tab Toolbox\ Network object\ New\ Web Listener…
Hộp thoại Welcom\ đặt tên: “Web Listener”\ Next.
Bớc 2: Hộp thoại IP Address\ đánh dấu chọn External network\ Next. Bớc 3: Hộp thoại Port Specification\ giữ nguyên dấu chọn Enable
HTTP và HTTP port 80\ Next.
Hộp thoại Completing…\ Finish. Apply\ Ok Bớc 4: Tạo rule Publish web:
ISA\ Firewall Policy\ New\ Web Server Publishing Rule…
Hộp thoại Welcome\ đặt tên: “Publish Web”\ Next. Bớc 5: Hộp thoại Select Rule Action\ Chọn Allow\ Next.
Bớc 6: Hộp thoại Define Website to Publish\ gõ vào tên máy chủ webserver, ở đây là server.congtyht.com\ Next.
Bớc 7: Hộp thoại Publish Name Details\ ta nhập Public name: www.vienthonght.com.vn\ Next.
Bớc 8: Hộp thoại Select Web Listener\ chọn Web Listener\ Next. Hộp thoại User sets\ giữ nguyên set “All Users”\ Next\ Finish. Bớc 9: Cửa sổ ISA Managerment\ Apply\ Ok.
Quá trình Publish Web hoàn thành.
8.6.4. Cấu hình VPN trên máy ISA.
Bớc 1: Mở ISA managerment\ Virtual Private Network (VPN). Cửa sổ thứ 2 chọn tab VPN Clients\ Verify that VPN Client Access is Enable.
Bớc 2: Cửa sổ Clients Properties\ Tab General: Check vào ô Enable
VPN client access để cho phép clients thực hiện kết nối VPN.
Maximum number of VPN clients allowed: 100 (default) (Số kết nối VPN tối đa cho phép, mặc định là 100)
Bớc 3: Vào tab Protocols đánh dấu check vào ô Enable PPTP để cho phép VPN kết nối thông qua giao thức PPTP. Ok.
Bớc 4: Trong cửa sổ thứ 2, tab VPN clients, Click chọn vào Remote
access configuration
Tab Access Networks, check vào ô External (đây là mạng mà từ đó
clients sẽ thực hiện kết nối VPN đến công ty).
Bớc 5: Gán dãy địa chỉ IP (WAN) để cấp cho kết nối VPN.
Tab Address Assignment\ Static address pool\ Add\ điền dãy địa chỉ IP cần cấp vào, các thông số khác để mặc định. Ok\ Apply\ Ok.
Bớc 6: Tạo Access rule sau để cho phép clients kết nối VPN: Name: VPN
Protocols: All outbound traffic Sources: VNP Clients
Destinations: Internal User: All Users
Apply\ Ok.
Bớc 7: Kiểm tra lại Network Rule.
Vào Configuration\ Networks\ Network Rules\ VPN Clients to
Internal Networks nh hình dới.
Bớc 8: Để một User thực hiện đợc kết nối VPN vào mạng nội bộ, cần phải cho phép User đó có quyền kết nối.
Vào Properties của User trong Active Directory (trên máy DC), chọn
KếT LUậN
Các kết quả đã đạt đợc:
Đã thiết lập đợc một mạng máy tính từ các giai đoạn nh khảo sát thiết kế, lắp đặt, xây dựng hệ thống máy chủ, quản lý ngời dùng trong công ty.
Mạng đợc xây dựng cơ bản đã hoàn thành những yêu cầu đặt ra.
Những hạn chế:
Trong khuôn khổ đề tài em chỉ mới khái quát đợc các bớc tiến hành để xây dựng hệ thống mạng ở Viễn thông Hà Tĩnh cha thật sự đi sâu với tình hình thực tế cụ thể ở công ty …
Do còn hạn chế về nhiều mặt nên trong khuôn khổ đề tài em cha đa ra đợc các cách để phòng chống và đảm bảo an toàn cho hệ thống mạng một cách tốt nhất.
TàI LIệU THAM KHảO
1. Làm chủ Windows Server 2003 của tác giả Phan Hoàng Dũng . 2. Cấu hình và cài đặt isa 2004
3. http://www.adminviet.net 4. http://www.nhatnghe.com
5. Các trang web tổng hợp trên Internet